Skandal: Zvanični sajt LSS nebezbedan?

Od članova portala Srbijalov nam je stigla informacija da su, prilikom pokušaja posete zvaničnom sajtu LSS https://www.lss.rs pomoću jednog od najpopularnijih pretraživača Mozilla Firefox, na ekranu dobili upozorenje da zvanični sajt LSS predstavlja potencijalnu bezbednosnu pretnju za lične podatke vlasnika računara koji pokušava da pristupi sajtu saveza. Potencijalnu bezbednosnu pretnju automatski detektuje pomenuti pretraživač Firefox, navodeći da može doći do neovlašćenog preuzimanja ličnih podataka ali i drugih kao što su npr. lozinke, zatim podaci o karticama, e-mail adrese itd. Sve u svemu, prilično loš i skandalozan mogući scenario. Da li je u pitanju neki virus, ili malware, i da li se radi 'samo' o mogućem preuzimanju ličnih i drugih podataka sa računara korisnika, ili se radi i o daljem širenju bezbednosne pretnje, to pretraživač Firefox ne navodi u upozorenju, ali preporučuje da se ne nastavi sa pokušajem posete sajtu LSS.

U detaljnijem opisu bezbednosnog rizika-upozorenju piše i sledeće: 'www.lss.rs koristi nevažeći bezbednosni certifikat. Certifikat nije pouzdan jer je samopotpisan.' - šta god to značilo.

U nastavku je naveden i softverski kod greške koju je otkrio internet pretraživač Firefox. Snimak ekrana koji smo dobili na uvid kao dokaz za navedeno je načinjen mobilnim telefonom, ali se jasno uvećanjem slike (klik na sliku uz naslov teksta) vidi sve što smo naveli.

Takodje, jedna od bezbednosnih zaštita (ESET internet bezbednost) prijavljuje problem sa sajtom i bezbednosnim certifikatom, navodeći da nema garancije da je server lss.rs baš onaj koji se prikazuje na ekranu posetioca. Navode da se može raditi o pokušaju presretanja komunikacije (klik na sliku ispod).

Dodatno: antivirus program Avast prilikom pokušaja konekcije na sajt LSS blokira pristup uz sledeće obaveštenje:

/prevod: Pretnja osigurana. Bezbedno smo uklonili konekciju sa www.lss.rs jer je zaražen URL:Malwertising/. Šta je malwertising i koliko je opasan možete lako naći na Google. Dakle, dobar antivirus ne dozvoljava pristup sajtu saveza. Evo dokaza:

Šta reći? Nije nam poznato koliko dugo je potencijalna bezbednosna pretnja prisutna na sajtu LSS, kao što nam nije poznato da li je bilo preuzimanja-kradje ličnih i drugih podataka korisnika koji su posećivali sajt saveza, ili širenja pretnje, ili  nešto drugo - očito da se radi o ozbiljnoj bezbednosnoj kompromitaciji sajta LSS. Jednom ugradjen virus ili slično preuzima lične podatke sa tudjih računara i dok si rekao 'patrona', šteta je napravljena. Šta god da je u pitanju, ovo je vrlo neozbiljno i neodgovorno od strane LSS i onog koji održava sajt saveza (ne verujemo besplatno!) da se uopšte dogodi jedna ovakva stvar! Poznato nam je da predsednik LSS nije kompjuterski analfabeta, a sve i da jeste, njegova obaveza je da obezbedi i proverava internet bezbednost zvanične prezentacije LSS. Da li će on to raditi sam, ili će posao poveriti nekom, to nije naš problem - sajt mora biti apsolutno bezbedan u meri u kojoj je to moguće. Nedopustivo je dozvoliti da zvanični sajt LSS bude baza za ugrožavanje internet bezbednosti, ili za širenje virusa, ili za kradju podataka - ozloglašeni 'fišing'. Sajt LSS mesečno pretpostavljamo da ima posećenost od više hiljada ili desetina hiljada poseta, pa vi razmislite o kakvom se mogućem riziku radi! I da niko to od nadležnih ne primeti? A ko su nadležni? Odgovor: nadležni su predsednik LSS Ćirković i Komisija za informisanje LSS, kojom koordinira upravo predsednik LSS. Evo, portal Srbijalov im je, radeći njihov posao, ovim tekstom pomogao da se otkrije problem i pristupi rešavanju, a sigurni smo da će nam odgovorni u LSS, kao ozbiljni i časni ljudi kako vole da se prikazuju, jel'te, biti duboko zahvalni za ovo otkriće problema, i da će 'biranim rečima' izraziti svoju zahvalnost kao što to u poslednje vreme umeju da urade, ali ne javno.

Medjutim, ovde izgleda da nije kraj problemima, i da od lošeg ima i gore: naime, sigurnosni sertifikat izgleda nije pouzdan ni kod programa za izdavanje lovnih karata koji koriste sva LU i lovački savezi, a koji je izradio LSS, a platila Uprava za šume!!! Pojašnjenje: SSL (Security socket layer) je sertifikat koji izdaje nadležno Sertifikaciono telo, i predstavlja garanciju da je komunikacija sajta sa korisnicima bezbedna (kriptovana), a da je vlasnik sajta baš onaj koji se predstavlja. Tog sertifikata sa prefiksom https u adresi sajta nema ni u adresi sajta LSS ni u programu za izdavanje lovnih karata, nego i program radi sa prefiksom http bez slova S (secure) što bi značilo da veza i razmena fajlova nije potpuno bezbedna, i da može doći do presretanja podataka! A dobro znamo o kakvim se vrlo osetljivim ličnim podacima oko 70.000 punoletnih gradjana radi u tom programu. Presretnuti ili ukradeni podaci se neretko prodaju na crnom internet tržištu. Aferim, gospodo iz LSS! Jeste li svesni odgovornosti? Koliko računara je inficirano malwertisingom a da to vlasnici ni ne znaju, sve zahvaljujući lošem održavanju sajta LSS i nebrigom za lovce-posetioce zvaničnog sajta? Sjajan uspeh i doprinos kvalitetu informisanja, zar ne? Nego, da li je neko pomenuo reč 'ostavka'?

Naša preporuka lovcima i svima onima koji bi da posete sajt LSS, ali i inače kad idu na internet, da svakako instaliraju neki antivirus program, ima dosta tih zaštita boljih ii lošijih koje se mogu besplatno skinuti sa interneta. Svakako je bolje imati bilo kakvu zaštitu, nego nikakvu. To što je sada otkriveno da sajt LSS predstavlja potencijalnu bezbednosnu pretnju, ne znači da je jedini, samo je pitanje koliko još drugih raznoraznih sajtova u sebi nose sličan rizik. Srbijalov portal je u tom smislu bezbedan u najvećoj mogućoj meri, pokušaji narušavanja bezbednosti se promptno otkrivaju i eliminišu, što se za sajt LSS to očigledno ne može reći. Naravno, 100% zaštite od zlonamernih na internetu jednostavno nema.